Mojn Liste! Ich bin grade am Überlegen, ob ich die Administration meines Servers "outsource". Dazu hätte ich mal zwei Fragen: a) Wie hoch ist im Allgemeinen in etwa der monatliche Aufwand (Details unten), wenn da jemand dran geht, der sich darauf konzentriert. Ich mache das sonst immer nebenbei und habe keinen Überblick, wie lange das wirklich dauert. Ich weiß nur, daß es so nebenbei halt nicht geht ... (Ähm ... wie hieß das Kommando noch gleich? *grübel*) b) Wie kann man sicherstellen, daß der neue Admin seine Rechte nicht ausnutzt? Ein Rootkit ist ja so noch viel leichter installiert, wenn man das root-Kennwort gar nicht erst jagen muß ;) Kann man in einen Vertrag eine Klausel bauen, "wenn Du Deine Rechte mißbrauchst, wirst Du 'erschossen' ". .... naja, so ähnlich ;-) Zu a) ein paar Details: Als Serverkonfiguration würde ich von folgendem ausgehen: - SUSE 9.1 - Apache 2 - PHP - MySQL - vsftp - ssh - ssl - SUSEfirewall - Cron-Jobs Es befinden sich ca. 20 User im Home-Dir, die so ein bis zwei Websites dort liegen haben. Mal geht einer, mal kommt einer; die wären dann entsprechend einzurichten/löschen. Apache und Co sind nicht mittels Yast installiert, sondern manuell konfiguriert. Ein Confixx oder so gibt es nicht. Des weiteren müsste dafür gesorgt werden, das die Kiste dicht ist. Evtl. ist auch mal ein Umzug durchzuführen, um zB. von SUSE 9 auf SUSE 10 zu kommen. Ein paar Scripte könnte man basteln, usw. ... was halt so im Adminleben anfällt ;) Hoffe, das ist so als Grundlage für eine grobe Einschätzung ausreichend. Viele Grüße und vielen Dank Fritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ich bin grade am Überlegen, ob ich die Administration meines Servers "outsource". Dazu hätte ich mal zwei Fragen:
a) Wie hoch ist im Allgemeinen in etwa der monatliche Aufwand (Details unten), wenn da jemand dran geht, der sich darauf konzentriert. das komm auf den einzelfall an und hängt davon ab wie rege der server benutzt wird. wenn dieser nur so vor sich her dümpelt muss man da nicht allzuviel machen. bei reger benutzung sieht das schon anders aus, logs ansehen fw erweitern, einbruchversuche erschweren, usw usw.
Ich mache das sonst immer nebenbei und habe keinen Überblick, wie lange das wirklich dauert. Ich weiß nur, daß es so nebenbei halt nicht geht ... gute einsicht, bevor man was falsch macht :-)
b) Wie kann man sicherstellen, daß der neue Admin seine Rechte nicht ausnutzt? Ein Rootkit ist ja so noch viel leichter installiert, wenn man das root-Kennwort gar nicht erst jagen muß ;) Kann man in einen Vertrag eine Klausel bauen, "wenn Du Deine Rechte mißbrauchst, wirst Du 'erschossen' ". .... naja, so ähnlich ;-) ein etwas übertriebendes misstrauen ? klar kann die wahl eines falschen admins schwerwiegende folgen haben, deshalb eile mit weile. ausserdem gibt es ja admin bzw support verträge.
Zu a) ein paar Details:
Als Serverkonfiguration würde ich von folgendem ausgehen: - SUSE 9.1 - Apache 2 - PHP - MySQL - vsftp - ssh - ssl - SUSEfirewall - Cron-Jobs
Es befinden sich ca. 20 User im Home-Dir, die so ein bis zwei Websites dort liegen haben. Mal geht einer, mal kommt einer; die wären dann entsprechend einzurichten/löschen. beschrängt sich das nur auf das anlegen und löschen? oder soll das noch ein php cms mit mysql eingerichtet werden. machen die user die seiten selber? nehme mal an ja. welche befugnisse dürfen die user haben? machen die user backups selber?
Apache und Co sind nicht mittels Yast installiert, sondern manuell konfiguriert. Ein Confixx oder so gibt es nicht. Des weiteren müsste dafür gesorgt werden, das die Kiste dicht ist. sollen da nur klick bunti yast updates eingespielt werden? oder soll das system, gentoo bzw lfs look a like haben? also alles selber machen, und auf fertige packete komplett verzichten?
Evtl. ist auch mal ein Umzug durchzuführen, um zB. von SUSE 9 auf SUSE 10 zu kommen. Ein paar Scripte könnte man basteln, usw. ... was halt so im Adminleben anfällt ;) wo steht die kiste. kommt man beim unzug auf das neue system physisch an die kiste ran, falls was schief läuft, oder steht die im RZ eines hosters?. was kostet eine techniker stunde im RZ. wie soll der umzug ablaufen, hau ruck system, also backup, und dann das system komplett platt machen und neues drauf. der lieber schritt weise mit yast? wie wichtig sind offline zeiten, spielen die user bei offline zeiten. wie intensiv sollte das neue system auf herz und nieren getestet werden?
Hoffe, das ist so als Grundlage für eine grobe Einschätzung ausreichend.
Viele Grüße und vielen Dank Fritz
mehr infos wäre hilfreich. am besten eine checkliste anlegen mit allen wichtigen punkten. mfg roellig-ltd.de ___________________________________________________________ Der frühe Vogel fängt den Wurm. Hier gelangen Sie zum neuen Yahoo! Mail: http://mail.yahoo.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Fritz Mundtart wrote:
Mojn Liste!
Ich bin grade am Überlegen, ob ich die Administration meines Servers "outsource". Dazu hätte ich mal zwei Fragen:
a) Wie hoch ist im Allgemeinen in etwa der monatliche Aufwand (Details unten), wenn da jemand dran geht, der sich darauf konzentriert. Ich mache das sonst immer nebenbei und habe keinen Überblick, wie lange das wirklich dauert. Ich weiß nur, daß es so nebenbei halt nicht geht ... (Ähm ... wie hieß das Kommando noch gleich? *grübel*)
Ich würde vorschlagen, dass du mal für zwei Monate festhälst in einer Liste, welche Arbeiten anfallen und wie lange du brauchst. Nimm nicht an, dass der neue Admin viel fähiger ist als du, setze also besser die gleiche Zeit für ihn an und rechne dann aus, was er dich kostet.
b) Wie kann man sicherstellen, daß der neue Admin seine Rechte nicht ausnutzt? Ein Rootkit ist ja so noch viel leichter installiert, wenn man das root-Kennwort gar nicht erst jagen muß ;) Kann man in einen Vertrag eine Klausel bauen, "wenn Du Deine Rechte mißbrauchst, wirst Du 'erschossen' ". .... naja, so ähnlich ;-)
Wenn du einem Admin mit Root-Kennwort nicht vertraust, dann solltest du ihn nicht ins Gebäude lassen und sofort alle Kennwörter ändern. Grundsätzlich muss ein Admin unterschreiben, dass er die Arbeit nach bestem Gewissen ausführt, Interessenkonflikte melden muss, und sich zur Geheimhaltung verpflichtet. Dazu gehört auch, dass er vor potentiellen Problemen warnen muss, welche den Betrieb erschweren/unmöglich machen können.
Zu a) ein paar Details:
Als Serverkonfiguration würde ich von folgendem ausgehen: - SUSE 9.1 - Apache 2 - PHP - MySQL - vsftp - ssh - ssl - SUSEfirewall - Cron-Jobs
Je nach Anspruch kann das ein Vollzeitjob sein. W
Es befinden sich ca. 20 User im Home-Dir, die so ein bis zwei Websites dort liegen haben. Mal geht einer, mal kommt einer; die wären dann entsprechend einzurichten/löschen. Apache und Co sind nicht mittels Yast installiert, sondern manuell konfiguriert. Ein Confixx oder so gibt es nicht. Des weiteren müsste dafür gesorgt werden, das die Kiste dicht ist. Evtl. ist auch mal ein Umzug durchzuführen, um zB. von SUSE 9 auf SUSE 10 zu kommen. Ein paar Scripte könnte man basteln, usw. ... was halt so im Adminleben anfällt ;)
Das "dicht bekommen" ist eine mehr oder minder üble Aufgabe. Dazu gehört schließlich auch, dass man sämtliche Scripte auf dem Server abklappert, ob sie sich zum Spammen/Einbruch/XSS ausnutzen lassen. Je nach Anzahl der Scripte ist das ein gehöriger Aufwand. Schätze besser, wieviel Zeit du pro Monat brauchst und was du einem Kunden dafür berechnen würdest. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Wed, 31 Jan 2007 10:39:14 +0100 Fritz Mundtart <f.mundtart@webof.de> wrote:
Als Serverkonfiguration würde ich von folgendem ausgehen: - SUSE 9.1 - Apache 2 - PHP - MySQL - vsftp - ssh - ssl - SUSEfirewall - Cron-Jobs Es befinden sich ca. 20 User im Home-Dir, die so ein bis zwei
Na, PHP und Suse9.1 im public Internet (?) - dann ist der Security-Level ja nicht allzu hoch. ;-) Suse 9.1 wird nicht mehr unterstützt, also kannst Du mal davon ausgehen, dass die Bugs der letzten 10 Monate noch auf Deinem System vorhanden sind und da war Apache mit PHP sowie SSL und SSH nicht nur einmal dabei, wenn ich die security-announce-Liste so auf die Schnelle durchblättere. FYI: http://en.opensuse.org/SUSE_Linux_Lifetime Beim 9.1 bin ich nicht sicher, ob das bereits per Default mit UTF-8 im Kernel arbeitet, ansonsten ist in dem Bereich der größte Ärger beim Upgrade zu erwarten, je nachdem, wie die User drauf zugreifen. Da 9.1 bereits mit Kernel 2.6 arbeitet, dürfte es hier weniger Ärger beim Upgrade geben. Vielleicht generell auf SLES wechseln, da werden Patches länger geliefert. Regelmäßigen Wartungsaufwand würde ich mit 1 h/d veranschlagen, um für umgehende Patches zu sorgen, die seccheck-Ergebnisse zu sichten und die Datensicherung zu kontrollieren. Typischerweise geht das per Fernwartung, wobei etwaige Backup-Datenträger halt wer anders wechseln muss. Am Anfang vielleicht eher 2 h/d. später eher weniger als 1 h/d. Kommt auf die Fähigkeiten an. Im Linux-Bereich gibt's halt auch viele "Bastler", die länger brauchen. Dazu kommt ein gewisses Budget für Unregelmäßigkeiten und Weiterentwicklung, usw.. Dafür kann man dann einen Rahmenvertrag mit Stundensätzen machen. Vielleicht auch alle 2..3 Monate eine Gerätereinigung, forced fsck (offline) und sowas einplanen und Recovery testen. Was Zugänge betrifft: Eine Form von Reporting solltet Ihr so oder so vereinbaren. Zugang per ssh nur für Normal-User und dann weitreichende sudo-Berechtigung für die Personen mit Administrationsbefugnis erteilen. Ist recht schnell eingerichtet - IIRC ist bei oS-10.2 jetzt sogar ein extra sudo-Tool im Yast drin. Dabei möglichst bash und andere Shells ausschließen. Hat den Vorteil, dass man schneller im Überblick hat, wer wo was zuletzt geändert hat, wenn anschließend was nicht mehr geht. Erweiterte Security bietet ein eigener Loghost, auf den jemand anders als der Admin Zugriff hat, der per syslog alles mitschreibt und auf dem auch Kopien von seccheck-Mails landen. Das root-PW gehört dann "natürlich" in den Tresor und nur für Systemupgrades ausgepackt. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Guten Tag Fritz Mundtart, am Mittwoch, 31. Januar 2007 um 10:39 schrieben Sie:
Mojn Liste!
Ich bin grade am Überlegen, ob ich die Administration meines Servers "outsource". Dazu hätte ich mal zwei Fragen:
a) Wie hoch ist im Allgemeinen in etwa der monatliche Aufwand (Details unten), wenn da jemand dran geht, der sich darauf konzentriert. Ich mache das sonst immer nebenbei und habe keinen Überblick, wie lange das wirklich dauert. Ich weiß nur, daß es so nebenbei halt nicht geht ... (Ähm ... wie hieß das Kommando noch gleich? *grübel*)
b) Wie kann man sicherstellen, daß der neue Admin seine Rechte nicht ausnutzt? Ein Rootkit ist ja so noch viel leichter installiert, wenn man das root-Kennwort gar nicht erst jagen muß ;) Kann man in einen Vertrag eine Klausel bauen, "wenn Du Deine Rechte mißbrauchst, wirst Du 'erschossen' ". .... naja, so ähnlich ;-)
Zu a) ein paar Details:
Als Serverkonfiguration würde ich von folgendem ausgehen: - SUSE 9.1 - Apache 2 - PHP - MySQL - vsftp - ssh - ssl - SUSEfirewall - Cron-Jobs
Es befinden sich ca. 20 User im Home-Dir, die so ein bis zwei Websites dort liegen haben. Mal geht einer, mal kommt einer; die wären dann entsprechend einzurichten/löschen. Apache und Co sind nicht mittels Yast installiert, sondern manuell konfiguriert. Ein Confixx oder so gibt es nicht. Des weiteren müsste dafür gesorgt werden, das die Kiste dicht ist. Evtl. ist auch mal ein Umzug durchzuführen, um zB. von SUSE 9 auf SUSE 10 zu kommen. Ein paar Scripte könnte man basteln, usw. ... was halt so im Adminleben anfällt ;)
Hoffe, das ist so als Grundlage für eine grobe Einschätzung ausreichend.
Viele Grüße und vielen Dank Fritz Ggf würde ich mir das auch zeigen lassen, das die Kenntnisse da sind (lpi o.ä. ) Also ob Zertifikate vorhanden sind. Das schützt dich zwar nicht davor, das der Server mißbraucht wird, aber du kannst dann davon ausgehen, das der neue Admin sein handwerk verstehen sollte.
-- Mit freundlichen Grüßen Sebastian Gödecke mailto:sgoedecke@gmx.net -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Fritz Mundtart -
Sandy Drobic -
Sebastian Gödecke -
Sven Roellig -
Tobias Crefeld